5G

Sicherheitsforscher von der Purdue University und der University of Iowa haben auf der Sicherheits-Konferenz der Association for Computing Machinery in London nahezu ein Dutzend von Schwachstellen in 5G-Protokollen thematisiert.

Nach Aussagen der Forscher können die Schwachstellen benutzt werden, um den Standort eines Benutzers in Echtzeit offenzulegen, Notfallalarme vorzutäuschen und so möglicherweise eine Panikreaktion auszulösen. Es sei daher möglich, ein 5G-vernetztes Telefon unbemerkt gänzlich vom Netzwerk abzukoppeln.

Dazu ein Kommentar von Sam Curry, CSO von Cybereason:

Ich persönlich bin über diese Entwicklungen bei 5G nicht wirklich überrascht. Forscher der Purdue University und der Iowa University sind ausgezeichnet. 5G ist eine sehr vielversprechende, aber auch eine sehr neue Technologie. Mit Fortschritt ist immer ein massiver Anstieg der Risiken verbunden. Nach und nach lernen wir, sie zu kompensieren und uns an die neuen Voraussetzungen anzupassen. Sicherheit sollte kein "Abteilung Nein" sein, sondern eine "Abteilung Ja". Und die sollte Wege beschreiten, um gleichzeitig vernetzt und widerstandsfähig zu sein.

Bremsen beim Auto sind nicht dazu da, ein Fahrzeug zu stoppen. Sie sind dazu da, dass wir auch bei hohen Geschwindigkeiten ein Gefühl der Sicherheit haben. Trotzdem. Wir lesen inzwischen bereits von quasi lebensbedrohlichen Services, die in autonomen Fahrzeugen zum Tragen kommen oder von Remote-Chirurgie über 5G. Szenarien, die uns durchaus bedenklich stimmen können in einer Welt, in der Vertraulichkeit, Integrität und Verfügbarkeit nicht länger gewährleistet zu sein scheinen. 

Grundsätzlich gibt es eine Reihe von Bedenken rund um die 5G-Ausstattung, und das (mangelnde) Vertrauen in die Hersteller steht ganz oben auf der Liste. 5G hat einiges an Risikopotential in sich. Etwa zu viel Rechnerleistung an den Endpunkten zu konzentrieren, um Mesh-Netzwerke zu unterstützen. Dieser Typ von Netzwerke wird bei Demonstranten und Dissidenten zusehends populärer.

Eine Reihe weiterer Szenarien ist hypothetisch denkbar. Die Geräte können beispielsweise über RF gestört werden (das ist ein Fakt), sie können von Hackivisten nur mit einem Schraubenzieher angegriffen oder von böswillig agierenden Lieferanten kontrolliert werden. Die eigentliche Frage ist jedoch, welche Dienste ausgesprochen kritisch sind und nicht über einen Single-Point-of-Failure wie ein Mobiltelefon betrieben werden sollten. 

5G verspricht Beschleunigung in einem dramatischen Ausmaß. Dementsprechend hat jede einzelne Schwachstelle massive Auswirkungen. Die Tatsache, dass sich viele 4G-Ressourcen problemlos aufrüsten lassen, macht den Handlungsbedarf um so dringender. Man sollte auch nicht unerwähnt lassen, dass einige Länder, darunter die Schweiz, beim 5G-Rollout einen Gang zurück geschaltet haben, bis man ein besseres Verständnis für die inhärenten Sicherheitsrisiken entwickelt habe. Insbesondere was kritische Infrastrukturen anbelangt. 

Jeder ist in der einen oder anderen Hinsicht einem Risiko ausgesetzt. Das darf aber nicht als Entschuldigung dienen, die Dinge schlimmer zu machen als sie sind. Sicherheit besteht nicht ausschließlich darin, Sicherheitsschwachstellen ausfindig zu machen. Wir haben kollektiv dazu beizutragen, die Dinge nicht weniger schlimm zu machen. Wenn Standorte auf so vielfältige Art und Weise nachvollzogen werden können, sollten wir das nicht noch einfacher und noch billiger machen. Vielmehr sind wir verantwortlich dafür, das Problem erst einmal in den Griff zu bekommen. 

Bei der Entwicklung und seitens der Telekommunikationsanbieter gibt es bereits Fortschritte beim Thema Sicherheit. Aber es gibt noch einiges zu tun, wenn wir gleichzeitig vernetzter und widerstandsfähiger sein wollen. Wir müssen Technologien verantwortlich einsetzen und für Redundanz sorgen. Wir müssen Hardware ‚Roots of Trust‘ in die Geräte integrieren und Authentifizierungs-Modelle verbessern. Und wir wollen ja beides: vernetzter und sicherer sein. Hier sind wir mehr als bisher gefordert. Denn sobald wir Technologien wie diese ausrollen, werden wir sie auch benutzen. Die Situation wird sich mit dem massiven Markteintritt von OT- und IoT-Geräten weiter verschärfen. Das mag in erster Linie für städtische Ballungsräume gelten, wo wir mehr IoT-Geräte nutzen als jede Generation vor uns. Aber die Technologie wird kommen. Telkos müssen sich angesichts neuer Services um ein grundlegendes Sicherheitsmodell bemühen. Sie sollten sich jetzt Gedanken machen, was sie über ihre Netze transportieren wollen und was nicht. Und nicht erst dann, wenn sich der Zug in voller Fahrt nicht mehr stoppen lässt. 

Ich habe es schon gesagt: Bremsen sind nicht ausschließlich dazu da, ein Fahrzeug zum Stehen zu bringen. Sie sind auch dazu da, uns das Sicherheitsgefühl zu geben, schnell zu fahren. Ganz ähnlich verhält es sich hier. Die Herausforderungen richten sich gleichermaßen an Sicherheitsexperten wie an uns als Kollektiv.

www.cybereason.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…
Herzen

Saisonale Betrügereien: Ausgabe Valentinstag

Romantische, aber auch das Vertrauen brechende Betrügereien verursachen sowohl emotionale als auch finanzielle Schmerzen. Ein Statement von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Tb W250 H150 Crop Int 1f22abfe6e08d1f054b6663556039815

Phishing und Malware: Coronavirus auch per E-Mail gefährlich

Täglich tauchen Meldungen zu neuen Infektionsfällen mit dem grassierenden Coronavirus auf. Die Bilder von abgeriegelten Städten und Menschen in Quarantäne zeichnen ein Schreckensszenario. Doch nicht nur in der analogen Welt ist das Virus ein Risiko: Die…
DDoS

Jenkins Server von internen Endlosschleifen bedroht

Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641, auch als CVE-2020-2100 bekannt.
Trojaner

Schadsoftware Emotet – So vermeiden Sie den IT-Totalschaden

Nach einem Cyberangriff mit dem Trojaner Emotet vor fünf Monaten ist das Berliner Kammergericht noch immer weitgehend offline. Vor wenigen Tagen enthüllte ein Bericht, dass der Sicherheitsvorfall deutlich verheerender war, als zunächst angenommen: Unbekannte…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!